Minggu, 02 Desember 2007

FIREWALL THE MOVIE

Jack Stanfield (Harrison Ford) bekerja sebagai Computer Security Specialist di Seattle-based Landrock Pacific Bank. Karirnya yang tergolong cemerlang membuatnya menjadi salah satu orang penting di kantornya. Kehidupan keluarga bersama istri dan dua anaknya juga berjalan lancar-lancar saja hingga suatu hari terjadi hal yang tidak diduga.
Setelah seharian sumpek dengan rapat kantor soal rencana merger dengan bank lain, Jack dikejutkan oleh seseorang bernama Bill Cox (Paul Bettany) yang mengklaim telah berhasil menyekap istri dan anak-anak Jack di rumah mereka sendiri. Padahal baru saja Jack mengenal Bill sebagai seorang calon investor. Tanpa disadari oleh Jack, ternyata aktivitasnya dan keluarganya telah diawasi dan disadap berbulan-bulan sebelumnya oleh komplotan Bill.
Bisa ditebak, ini adalah cerita penyanderaan bermotif uang. Ya, target mereka adalah uang sejumlah $100 juta. Lucunya, walaupun Bill sesumbar kalau komplotannya berhasil menyusup ke server kantornya Jack dan menginstal program jahat di dalamnya namun mereka tetap saja masih butuh bantuan Jack untuk mensortir 10.000 rekening nasabah dengan saldo terbesar yang akan menjadi sasaran pembobolan. Bill juga ikut panik saat tahu kalau server yang berisi data-data itu baru saja pindah ke kantor lain
Berada di bawah ancaman dan tekanan, apalagi usaha keluarganya untuk meloloskan diri gagal, membuat Jack harus berpikir keras. Tak disangka, Jack mendapat ide memanfaatkan salah satu bagian dari mesin fax dan iPod milik anaknya untuk melaksanakan rencana itu. Gabungan kedua alat itu ternyata membuahkan hasil. Usai beraksi, agar tidak meninggalkan jejak, disebarkanlah virus dalam jaringan komputer di kantornya yang menggunakan Win XP!

SOCIAL ENGINEERING

Definisi
Bernz 2
“seni dan ilmu memaksa orang untuk memenuhi harapan anda”.
Palumbo
“suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer” atau
Berg
“mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem” .

Dalam kenyataannya, social engineering bisa menjadi berbagai dan semua hal-hal yang disebutkan di atas, tergantung dimana anda duduk atau mengambil posisi. Satu hal yang kelihatan disetujui semua orang adalah bahwa social engineering umumnya suatu manipulasi cerdas tentang tendensi kemanusiaan natural yang dipercaya dari seorang. Tujuan hacker adalah untuk mendapatkan informasi yang akan mengizinkan dia untuk mendapatkan akses yang tak terotorisasi (tak legal) pada sistem yang diinginkan dan informasi yang berlokasi pada sistem itu. Security adalah segala hal yang berkaitan dengan kepercayaan. Kepercayaan adalah perlindungan dan otentisitas. Umumnya disetujui sebagai jalinan paling lemah dalam alur keamanan, kemauan manusia yang natural untuk menerima kata-kata seseorang meninggalkan hal-hal yang rentan diserang. Banyak ahli security yang berpengalaman menekankan fakta ini.
Tak jadi soal banyaknya artikel yang telah diterbitkan tentang firewall, belang (patches), dan lubang-lubang jaringan, kita hanya bisa mengurangi ancaman sebanyak mungkin dan kemudian terserah pada Maggie dalam menilai temannya, Will menelponnya dari suatu tempat terpencil untuk mempertahankan agar jaringan keseluruhan benar-benar aman.

Target dan Serangan
Tujuan dasar social engineering sama seperti umumnya hacking : mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon ddan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit. Boom internet memiliki andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang lebih besar.
Menemukan teladan yang baik dan nyata dari serangan-serangan social engineering adalah sulit. Organisasi-organisasi yang dijadikan sasaran tidak mau mengijinkan bahwa mereka dikorbankan (lebih-lebih, mengijinkan suatu terobosan security fundamental tidak hanya memalukan, ia mungkin merusak reputasi organisasi) dan/atau serangan-serangan tidak terdokumentasi dengan baik sehingga tak seorangpun yang benar-benar yakin apakah ada suatu serangan social engineering atau tidak. Katakan saja mengapa organisasi dijadikan sasaran melalui social engineering baiklah, ini seringkalil merupakan suatu cara yang lebih mudah untuk mendapatkan akses melanggar hukum daripada berbagai macam bentuk hacking teknis. Bahkan untuk orang-orang teknis, hal ini seringkali jauh lebih sederhana untuk sekedar mengangkat telepon dan meminta password seseorang. Dan yang paling sering, persis seperti itulah yang akan dilakukan oleh seorang hacker.


2 Level Serangan Social Engineering

  1. Fisik
    Pertama, kita memfokuskan pada setting fisik untuk serangan ini: tempat kerja, telepon, tempat sampah, dan bahkan on-line. Di tempat kerja, hacker bisa dengan mudah melewati pintu, seperti di dalam bioskop, dan berpura-pura menjadi seorang pekerja pemeliharaan atau konsultan yang memiliki akses pada organisasi.
  2. Psikologis
    Kemudian seorang penyusup menyelundup melalui kantor sampai dia menemukan suatu password baru yang tergeletak dan keluar dari bangunan dengan informasi di tangan lebih dari cukup untuk mengeksploitasi jaringan dari rumah setelah malam itu. Teknik lain untuk mendapatkan informasi adalah dengan berdiri di sana dan mengamati pekerja yang lalai mengetikkan password.

Metode Social Engineering

  1. Social engineering dengan telepon
    Jenis yang paling lazim dari serangan-serangan social engineering dilakukan dengan telepon. Seorang hacker akan menelpon dan meniru seseorang dalam suatu kedudukan berwenang atau yang relevan dan secara gradual menarik informasi dari user. Kursi bantuan secara partikuler condong pada tipe serangan ini. Hacker mampu berpura-pura mereka sedang menelpon dari dalam perusahaan dengan memainkan tipuan atau trik pada PBX atau operator perusahaan, sehingga pemanggil ID tidak selalu menjadi pertahanan terbaik.
  2. Diving Dumpster
    Dumpster diving, juga dikenal sebagai sampah, adalah metode populer lain dari social engineering. Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company Dumpster. The LAN Times mendaftar daftar- daftar berikut sebagai potensi kebocoran keamanan dalam trash kita: “Buku telepon perusahaan, grafik organisasi, memo, panduan kerja kebijakan perusahaan, kalender pertemuan, peristiwa-peristiwa dan peletakan jabatan, panduan kerja sistem, printout data yang sensitif atau nama login dan password, printout kode, disket dan tape sumber, kepala surat perusahaan dan formulir memo, dan perangkat keras lama.
  3. Social engineering on-line
    Internet adalah lahan subur bagi para teknisi sosiaal yang ingin mendapatkan password. Kelemahan utamanya adalah banyaknya user yang sering mengulangi pemanfaatan sebuah password sederhana pada setiap tranksaksi: Yahoo, Travelocity, Gap.com, dan sebagainya. Maka sekali seorang hacker memiliki satu password, dia mungkin bisa masuk ke dalam berbagai transaksi. Satu cara dimana seorang hacker diketahui mendapatkan jenis password ini adalah melalui uatu formulir on-line: mereka bisa mengirimkan beberapa bentuk informasi perjudian kuda dan meminta user untuk menempatkan namanya(termasuk alamat e-mail cara itu, dia bahkan mungkin mendapatkan password transaksi keseluruhan seseorang) dan passwordnya. Formulir ini bisa dikirimkan lewat e-mail atau melalui US Mail.


Reverse Social Engineering
Suatu metode yang maju dan final dalam mendapatkan informasi yang melanggar hukum ini dikenal sebagai “reverse social engineering”. Hal ini terjadi ketika seorang hacker menciptakan suatu persona yang muncul dan berada dalam suatu posisis kewenangan sehingga pekerja akan memintanya informasi dibandingkan dengan cara lainnya. Jika diteliti, direncanakan dan dilakukan dengan baik, serangan reverse social engineering mungkin menawarkan suatu kesempatan yang lebih baik bagi hacker untuk mendapatkan data yang berharga dari pekerja; namun, hal ini mensyaratkan suatu bentuk persiapan, penelitian, dan pra-hacking yang besar agar berhasil. Berdasarkan pada Methods of Hacking: Social Engineering, suatu makalah yang ditulis oleh Rick Nelson, tig bagian serangan-serangan reverse social engineering adalah sabotase, iklan, dan assisting. Hacker menyabotase suatu jaringan, menyebabkan suatu masalah muncul. Hacker itu kemudian mengiklankan bahwa dia adalah orang yang tepat untuk mengatasi
permasalahan, dan kemumdian, ketika dia datang untuk mengatasi masalah, dia mensyaratkan jumlah tertentu informasi dari para pekerja dan mendapatkan apa yang benar-benar ia inginkan. Mereka tidak pernah tahu bahwa tu adalah hacker, karena permasalahan jaringan mereka telah selesai diperbaiki dan setiap orang menjadi bahagia.

Referensi :
http://www.obscure.org/betha/docs/